26 mars 2012

Les conférences Sécurité : récapitulatif

La sécurité informatique est un domain très vaste : Réseau, système d’exploitation, sites web, et même physique.
Depuis la création du premier virus en 1971 jusqu’à aujourd’hui, les méthodes d’attaques et de défenses ont énormément évoluées. ASLR, DEP, filtres anti XSS, anti rootkits,… sont autant d’exemples qui démontrent que les hackers sont très inventifs, et essaient toujours de surpasser les protections mises en place (parfois avec beaucoup de brio).

Pour répondre à ces attentes de sécurité, de nombreuses conférences sont organisées chaque année, des deux « cotés » de la sécurité.
Cet article a pour but de présenter et d’expliquer les congrès de sécurité les plus importants, au niveau francais, mais aussi mondial.

Assises de la sécurité

Crée en 2000, cet évènement, destiné aux professionnels de la sécurité, a pour but de rassembler les intégrateurs, éditeurs et clients pour présenter les nouveautés et les solutions contre le hacking, mais également pour rencontrer les acteurs de la sécurité.
Organisée du 5 au 8 octobre 2012, la prochaine édition comprend :

Merdredi 5 octobre Jeudi 6 octobre Vendredi 7 octobre Samedi 8 octobre
12H30 Cocktail de bienvenue 8H30-9H15 keynote IBM 8H30-9H15 Keynote Orange Business Services 11H Brunch et activités détentes
14H-19H forum, atelier, rdv One on One 9H-19H forum, atelier, rdv One on One 9H-18H forum, atelier, rdv One on One
18H-18h45 keynote Cisco 18H conférence plénière : « Le propos sécuritaire est-il un délire politique ou la juste réponse à une véritable insécurité ? »‘ 16H Conférence de clôture
20H30 cocktail dinatoire 20H30 cocktail dinatoire 20H30 Diner de gala

De nombreuses tables rondes sont également prévues, sur des sujet comme le BYOD, cloud, la cybercriminalité,…

Plus d’informations sur www.les-assises-de-la-securite.com

Nomios sera présent aux Assises de la sécurité 2012.

Black Hat Conf

Depuis 1997, la Black Hat Conference est la référence des conférences de hacking. Très orientée techniques d’attaques, elle est organisée dans plusieurs pays (Etas Unis, Pays Bas, Japon). La conférence la plus connue est aux Etats Unis, à Las Vegas.
La Black Hat Conference est divisée en deux parties : les « talks », qui donnent des explications techniques sur des failles mises au point ( liste des talks 2011), et les workshops, qui permettent de démontrer dans la pratique l’exploitation de failles.

La Black Hat Conf Europe était organisée du 14 au 16 mars 2012.
La Black Hat Conf USA sera organisée du 21 au 26 juillet 2012.

Les programmes de la Back Hat USA ne sont pas encore connus.

Pour avoir des informations sur les prochaines éditions : www.blackhat.com

CanSecWest

Depuis 2000, la CanSecWest, organisée à Vancouver, est également une conférence mondialement connue, d’une part pour ses conférences, mais également pour
le concours Pwn2Own qui teste la sécurité des navigateurs, et des téléphones mobiles (Pwn2Own 2011 a d’ailleurs été remportée par la société francaise Vupen, en 5
secondes !). La CanSecWest est orientée pour les professionnels de la sécurité, tout en restant très technique.
L’édition 2012, du 7 au 9 mars, a présenté les conférences suivantes:

 

Mercredi 7 Mars Jeudi 8 Mars Vendredi 10 Mars
9:00-12:00
Registration
08:00 – 09:00
Registration & Breakfast
08:00 – 09:00
Breakfast
12:00 – 13:00
Deep Boot – Nicholas Economou & Andres Lopez Luksenberg, Core
09:00 – 10:00
Root Proof Smartphones, and Other Myths and Legends – Scott Kelly, Netflix
09:00 – 10:00
Unveiling LTE Security – Dr. Galina D. Pildush, Juniper
13:00 – 14:00
Mapping the Pen Tester’s Mind: 0 to Root – Nick (Kizz MyAnthia) D, Rapid7
10:00 – 10:30
Second Breakfast
10:00 – 10:30
Second Breakfast
14:00 – 14:30
Break
10:30 – 11:30
Probing Mobile Operator Networks – Colin Mulliner
10:30 – 11:30
HDMI – Hacking Displays Made Interesting – Andy Davis, NGS
14:30 – 15:30
Social Authentication – Alex Rice, Facebook
11:30 – 12:30
Marcia Hoffman – Legal Issues in Mobile Security Research, EFF
11:30 – 12:30
Vulerability Analysis and Practical Data Flow Analysis & Visualization – Jeong Wook Oh, Microsoft
15:30 – 16:30 Advanced Persistent Responses – Peleus Uhley, Adobe 12:30 – 13:30
Lunch
12:30 – 13:30
Lunch
16:30 – 16:45
Break
13:30 – 14:30
iOS5 – An Exploitation Nightmare? – Stefan Esser
13:30 – 14:30
Playing with Network Layers to Bypass Firewalls’ Filtering Policy – Eric Leblond
16:45 – 17:45
Hiding in Plain Sight – Wade Wiliamson, Palo Alto Networks
14:30 – 15:30
Hardware-involved software attacks & defenses – Jeff Forristal, Intel
14:30 – 15:30
New Threat Based Chinese P2P Network – TBA, TBA
15:30 – 15:45
Break
15:30 – 15:45
Break
15:45 – 16:45
Intro to Near Field Communication (NFC) Mobile Security – Corey Benninger & Max Sobeil, Intrepidus
15:45 – 16:45
Scrutinizing a Country using Passive DNS an Picviz – Sebastien Tricaud and Alexandre Dulanoy
16:45 – 17:45
TBA – TBA, TBA
16:45 – 17:45
TBA – TBA
18:45 – 19:30
Lightning Talks – Various @ Tronapalooza 2
19:30 – 23:00
Party – Tronapalooza II: The Invaders Strike Back

Pour avoir des informations sur la CanSecWest : cansecwest.com

Chaos Communication Congress

Crée en allemagne par le Chaos Computer Club depuis 1984, le CCC est une des références européennes du hacking. Les dernières éditions
se sont fait connaitre par les explications sur le hacking de la Playstation 3, ou encore par les vulnérabilités présentes dans les SCADA des systèmes pénitenciaires.
D’autres conférences, plus ou moins techniques, permettent de mettre en avant la sécurité des SI au niveau professionnnel.

Le CCC étant organisé en fin d’année, les programmes ne sont pas encore connus.

Pour avoir plus d’informations sur le CCC : events.ccc.de

Def con

La def con est une conférence connue dans le monde entier. Créee par Jeff Moss, déjà à l’origine de la Black Hat Conf, elle est organisée tous les ans à Las Vegas et suit les mêmes lignes que son ainée, grâce aux talks et aux challenges de sécurité. Etant donné le caractère « provoquant » des conférences, de nombreuses
personnes ont eu des problèmes avec la loi, suite à cette conférence (arrestations, procès…).

Le programme de la 20ème Def Con n’est pas encore connu.

On peut noter que la Def Con sera la première conférence à présenter le documentaire Code 2600 (qui est une référence au monde du phreaking).

Pour avoir plus de renseignements sur la Def Con : www.defcon.org

Hack In Paris

Conférence très récente, mais supportée par la Nuit Du Hack, Hack In Paris est une conférence orientée pour les professionnels de la sécurité, principalement pour la partie « Trainings ». Créée par la société Sysdream, elle met en avant les dangers de l’insécurité par des conférences et des trainings d’un haut
niveau de technicité.
La prochaine conférence se fera du 18 au 22 juin. Les trois premiers jours seront reservés au trainings, et les deux derniers aux conférences.

Trainings, du 18 au 20 Juin

  • Win32 Exploit Development
  • IOS Applications, attack and defense
  • Malware reversing laboratory
  • Metasploit for penetration testing
  • Hacking IPv6 networks
  • Reverse Engineering of Android applications and malwares
Talks, du 21 au 22 Juin
Jeudi 21 Juin Vendredi 22 Juin
08:30 – 09:20
Opening & Breakfast
08:30 – 09:20
Opening & Breakfast
09:20 – 09:30
Introducing Hack In Paris
09:30 – 10:15
Measuring risk with timed based security model
09:30 – 10:15
Where are we and where are we going ?
10:15 – 11:00
Bypassing the Android permission model
10:15 – 11:00
Breaking Windows 8 using HID with Kautilya
11:00 – 11:15
Coffee Break
11:00 – 11:15
Coffee Break
11:15 – 12:00
Got your nose ! How to steal your precious data without using scripts
11:15 – 12:00
Neuro Linguistic Hacking – Emotional Mind Control
12:00 – 13:30
Lunch
12:00 – 13:30
Lunch
13:30 – 14:45
Results of a security assesment of IPv6
13:30 – 14:45
You spent all this money and you’re still get owned ?
14:15 – 15:00
A bit more of PE
14:15 – 15:00
HTML5 : Something wicked this way comes
15:00 – 15:15
Coffee Break
15:00 – 15:15
Coffee Break
15:15 – 16:00
Scada security : why is it so hard ?
15:15 – 16:00
The road to hell… is paved with best practices
16:00 – 16:45
Attacking XML processing
16:00 – 16:45
Windows Phone 7 Platform and application security overview
16:45 – 17:30
Securing the Internet : you’re doing it wrong
16:45 – 17:30
PostScript : Danger ahead
17:30 – 17:45
Closing

Pour plus d’informations sur Hack In Paris : www.hackinparis.com

 

Nuit Du Hack

Avec le SSTIC, une des plus vieilles conférence française de hacking.
Crée par HackerzVoice en 2003, les créateurs ont su attirer toujours plus de monde, en créant le buzz grâce à des intervenants comme GeoHot, la personne à l’origine du jailbreak de l’iphone et de la Playstation 3. Plus de 1000 personnes étaient présentes lors de la dernière édition. Cette conférence est principalement orientée pour les hackers, plus que pour un public professionnel.

La Nuit Du Hack est basée sur trois axes :

  • les conférences, durant la journée
  • les workshops, ateliers permettants de mettre en pratique des techniques d’attaques, de défenses, mais aussi des choses plus triviales
  • les challenges, avec une partie challenge publique en accès libre, et un Capture The Flag, réservé aux équipes qualifiées.

Le programme de la prochaine Nuit Du Hack, qui se fera le 23 juin n’est pas encore connu. Le « Call For Paper » se terminant le 20 Avril, il est probable que le programme soit connu d’ici fin Avril.

Pour plus d’informations sur la Nuit Du Hack : www.nuitduhack.com

 

PacSec

La PacSec est le pendant japonais de la CanSecWest. La dixième édition, prévue pour 2012, n’a pas encore de date ni de conférence de prévue. Elle est
principalement connue pour avoir mis en avant des problèmes sur la sécurité du WPA, avec l’attaque Beck & Tews, permettant d’injecter des paquets dans un réseau
sécurisé en WPA-TKIP. Cette conférence est vouée à un public professionnel.

Pour avoir plus d’informations concernant la PacSec : pacsec.jp

SSTIC

Le SSTIC, pour Symposium sur la Sécurité des Technologies de l’Information et des Communications, a été crée la même année que la Nuit Du Hack, mais est destiné à un public plus professionnel.
La conférence, basée à Rennes, met en avant des principes de la sécurité aussi bien au niveau théorique que technique. Le SSTIC est avec la NDH un évenement incontournable du paysage français de la sécurité.
En plus de ces conférences, le SSTIC organise des « rump session », sortes de mini conférences de quelques minutes où sont expliqués des concepts, des outils,…

Le SSTIC est organisé du 6 au 8 Juin.

Mercredi 6 Juin Jeudi 7 Juin Vendredi 8 Juin
09:00
Inscriptions
09:00
Compromission d’une application bancaire JavaCard par attaque logicielle
09:30
Source Address Validation Improvments (SAVI)
10:00
Keynote 2012
09:30
IronHide : Plateforme d’attaque par entrées-sorties
10:00 Utilisation malveillante des suivis de connexions
11:00
Pause
10:00
Conférence invitée
10:30
Influence des bonnes pratiques sur les incidents BGP
11:30
SSL/TLS : etat des lieux et recommandations
10:45
Pause
11:00
Pause
12:00
Netzob : un outil pour la rétro conception de protocoles de communication
11:15
Résultats du challenge
11:30
Conférence invitée
12:30
Sécurité de RDP
11:45
Conférence invitée
12:15
Conférence invitée
13:00
Déjeuner
12:30
L’information, capital immatériel de l’entreprise
13:00
Déjeuner
14:45
WinRT
13:00
Déjeuner
14:30
Miasm : Framework de Reverse Engineering
15:15
Contrôle d’accès mandateire pour Windows 7
14:45
Conférence invitée
15:00
Rétroconception et d »bogage d’un baseband Qualcomm
15:45
Audit des permissions en environnement AD
15:30
Conférence invitée
15:30
Conférence de clôture
16:15
Pause
16:15
Pause
16:30
Fin de la conférence
16:45
Expert judiciaire en informatique
16:45
Rump Session
17:30
Conférence invitée
20:00
Social Event
18:15
Cocktail++

Pour avoir plus d’informations sur le SSTIC : www.sstic.org

 

En conclusion, on peut voir que le paysage du hacking est de plus en plus en ébullition. Les précurseurs ont permis de donner l’impulsion nécessaire permettant de lancer la machine. On leur souhaite donc bon courage pour continuer dans cette lancée 😉

 

Partager :

Auteurs